Apple corrige ZombieLoad, la nouvelle faille des processeurs Intel de tous les Mac
Quasiment tous les ordinateurs équipés d’un processeur Intel depuis 2011 sont concernés par la nouvelle faille de sécurité ZombieLoad. Cette vulnérabilité, qui comporte en fait quatre bugs, fait écho aux failles Spectre et Meltdown qui avaient elles aussi affecté de nombreuses puces produites par le fondeur. Cette fois cependant, seuls les processeurs Intel sont touchés, alors que Spectre visait également AMD et Arm.
ZombieLoad est une attaque par canal auxiliaire exploitant les techniques d’exécution spéculative. Celles-ci visent à accélérer les processeurs, qui tentent de deviner l’action à effectuer après une commande, en spéculant sur la nature de cette action.
De fait, ZombieLoad se rapproche de Spectre, puisqu’il s’agit de forcer le processeur à exécuter une commande qu’il ne ferait pas habituellement, et de récupérer ensuite les informations qui ne devraient pas être disponibles.
Cette vulnérabilité permet à un malandrin de récupérer l’historique de navigation web de sa victime, mais cela peut aller encore plus loin, par exemple siphonner des mots de passe et des tokens d’accès aux services web de l’utilisateur. Cette vulnérabilité, dont la référence est CVE-2018-12130, affecte non seulement les ordinateurs Intel, mais aussi les machines virtuelles présentes sur des serveurs.
Les chercheurs proposent sur le site web spécialement créé pour l’occasion le code du proof of concept ainsi qu’un document PDF expliquant par le menu ce dont il retourne. Intel, prévenu il y a un mois, a bouché la faille sur les processeurs vulnérables, à savoir ceux des gammes Xeon, Atom et Knights, ainsi que les puces Broadwell, Sandy Bridge, Skylake, Haswell, Kaby Lake, Coffee Lake, Whiskey Lake et Cascade Lake. Apple, Microsoft, Google et Mozilla ont (ou vont) proposer des correctifs.
À l’instar de Spectre et Meltdown, les correctifs sont susceptibles d’avoir un impact négatif sur les performances des processeurs : une dégradation pouvant aller jusqu’à 3% sur les ordinateurs grand public, jusqu’à 9% sur les serveurs. Étant donné que ni Intel, ni les chercheurs n’ont publié le code source permettant d’exploiter la faille, l’utilisateur lambda n’a normalement rien à craindre. Aucune attaque basée sur ZombieLoad n’a été rapportée.
Jusqu’à 40% d’impact sur les performances des processeurs??!
Mon MacBook Pro 2017 juste double cœur va manger cher...
@MickaëlBazoge
Je risque devoir la faire. Je code pas mal avec cette machine.
Je pense pas que coder est un environnement a aux risques.
Il faut vraiment que tu sois une personne importante ou qui possède des données important pour que quelqu'un veuillent prendre tes données de cette façon.
Je pense que du fishing et un keylogger devrais suffire dans ton cas et si, il utilise ça c'est qu'il y a vraiment quelque chose sur ton ordinateur qui est intéressent.
Une attaque de masse pourrait tout à fait exploiter ces vulnérabilités en étant agnostique vis à vis des cibles si l'idée c'est de récolter un maximum d'informations de connexion et de données bancaires.
Un cheval de Troie basé sur la vulnérabilité du processeur en fait une arme de collecte d'informations à grande échelle redoutable. Pas besoin d'être une personnalité pour être victime.
@ThonyF
Phishing (c’est pas pour troll)
@ Almamida
Une fois que vous l'aurez fait, il serait utile d'avoir votre retour d'expérience.
@Mickaël Bazoge
> Uniquement si tu mets en place la mesure de réduction supplémentaire, ceci dit.
C'est pas exactement *complémentaire*.
La mesure mise en place par défaut s'applique uniquement au moteur Javascript de Safari.
Cette mesure est permanente.
La mesure de protection réelle, qui marche donc quelque soit l'application de l'utilisateur, c'est bien celle optionnelle, qu'Apple appele à juste titre "full mitigation".
Elle entraine la perte de l'HyperThreading, une latence supplémentaire dans chaque transition noyau / application, ce qui abouti à des pertes importantes de l'enveloppe de ressource CPU disponible.
Après, selon les usages, l'enveloppe, même amputée ainsi, peut rester largement suffisance.
Mais si vos usages flirtaient occasionnellement avec les limites de cette enveloppe, cela se verra assurément à la prochaine occasion, et pas qu'un peu.
@Almamida
C’est si tu fais la manipulation
En même temps, 40 % de réduction, sur un processeur utilisé à 1 % de ses capacités la plupart du temps, ce n'est pas grand chose... J'exagère à peine : en compilant sans cesse, j'ai du mal à atteindre Peak Loaded qui dépasse 1,5.
@pim
Je ne sais pas quelle machine tu utilises mais je suis loin des 1% avec mon i5 double cœur.
Avec un raisonnement comme celui là, autant s'acheter un PC avec un processeur bas de gamme qui sera toujours utilisé à 1/20eme ou 1/30eme de ses possibilités.
@macinoe
J'ai un iMac Pro au taf, mais là, je suis à Cannes, pas au taf
J'ai descendu une station de travail hackintosh en core i7 3770K, GTX970, 16 Go RAM / 256 Go SSD, mais elle est pas à jour sur l'OS, donc je peux pas installer CC 2019 dessus (pour le moment)
Du coup, je bosse avec .... Mon Macbook 12" de 2015
Au menu : pas mal de photoshop sur les assets photographes (de la photo bien HD) et énormément de rendus motion design pour des photos à animer pour les réseaux sociaux, et des shorts vidéos
C'est un peu plus lent, je dis pas, c'est un Macbook 12", pas un iMac Pro, mais .... pfffff ... pas tant que ça en fait. Je pense que je perds 30/40 min sur une journée de travail de 12h
Juste pour dire :)
@pocketalex
> C'est un peu plus lent, je dis pas, c'est un Macbook 12", pas un iMac Pro, mais .... pfffff ...
> pas tant que ça en fait. Je pense que je perds 30/40 min sur une journée de travail de 12h
Un -40% de productivité max sur ces 12h, cela va peut faire plus que seulement 30/40min, par contre.
@pim
y'a longtemps que le goulot d'étranglement d'un processus de compilation de code n'est plus situé dans le CPU. Ce sont les I/O, désormais.
Sa devient n’importe quoi, Intel j’espère finira par mettre la clés sous la porte.
Je ne souhaite de malheurs à personne mais là, on nous ponds des puces super puissante, pour au final ces deux dernières année avoir au moins 20% de puissance en moins avec les correctifs (et c’est pas finis)
Les personnes qui achète des PC ou MAC on se fait tous avoir, on paie le prix de quelque chose qui va être bridé, en fin de compte on se retrouve avec beaucoup moins de puissance que prévu, je trouve ça scandaleux.
@ Slizz
"avoir au moins 20% de puissance en moins"
Vous l'avez constaté ? Vos app sont 20% plus lentes ? Vos pages Internet mettent 20% de plus à se charger ? etc.
@Marco787
Je suis d’accord sur le principe. Et c’est pour ça que j’ai rien dis sur les premières failles, maintenant oui j’utilise mon Mac de façon assez intensive (logiciel de modélisation 3D pour le taff et traitement photo/montage vidéo pour le plaisirs) mais c’est pas le sujet.
Le constat est que plus on avance plus il y en a et plus on voit des 3% par ci 6% par là, et un petit 5% en plus pour la route.
Je dis juste que si ça continu, on va finir avec 30% en moins et là oui on va les sentir passer. Qu’on utilise ou non énormément la puissance de son processeur, sa arrive à tout le monde de travailler de façon intensive un jour ou l’autre.
Et surtout on a payé pour une certaine puissance et pour ces processeurs.
@ Slizz
Donc pour résumer, vous n'avez en fait constaté aucune baisse de puissance...
@Marco787
Pour constater, le constat est qu’il y a bien une baisse de puissance qu’elle soit constaté ou non, et qu’il y a un prix payé pour cette puissance initiale.
Sérieusement vous achetez une voiture de 180 chevaux, on vous bride à 90chx mais vous constatez rien pendant un an parce que vous faite de la ville.
Le jour où vous allez reprendre l’autoroute vous allez vraiment dire « bof c’est rien quand je suis en ville ça passe » ?
Non, vous avez payé pour 180 chevaux pas pour moins, alors les problèmes de ci ou ça sa vous regarde pas vous voulez la puissance que vous avez payé.
Après si sa vous dérange pas... Chacun a sa façon de se faire entuber, je suis le genre de personne a ne pas me laisser marcher dessus, peut être que vous vous en fichez vous.
@ Slizz
"le constat est qu’il y a bien une baisse de puissance qu’elle soit constaté ou non, "
Je ne suis pas sûr de comprendre : une baisse de puissance qui n'est pas constatée ? Mais dans ce cas, comment pouvez-vous dire qu'il y a une baisse ?
"je suis le genre de personne a ne pas me laisser marcher dessus, peut être que vous vous en fichez vous."
Vous êtes quelque peu contradictoire il me semble : vous avez de l'informatique. L'informatique personnelle est buguée (cette faille n'est qu'un exemple parmi tant d'autres), et le se sera encore pour longtemps. Donc vous achetez, conservez et utilisez des produits par définition bugués... Et vous dites que vous ne voulez pas vous faire avoir ? Si c'était le cas, ne devriez-vous pas n'avoir aucun produit informatique ?
@ Slizz
"Sérieusement vous achetez une voiture de 180 chevaux, on vous bride à 90chx"
Votre comparaison est intéressante, mais pourriez-vous expliquer comment elle s'applique ici, car cela n'est pas clair pour moi.
Quand vous achetez une voiture de 180 chx, 1) cette puissance fait partie du contrat de vente, de manière claire, explicite et légale, et 2) cette puissance est quantifiée par cette valeur objective et mesurable.
Or vous n'avez pas acheté un processeur à Intel, mais un ordi à Apple. Où est le document ou autre élément contractuel qui indique que vous avez droit à une certaine puissance (quantifiée, précise) de CPU ? Pouvez-vous donner un lien avec un exemple ?
Et 2), comment cette puissance de CPU est mesurée au juste ? Quel est l'indicateur ?
(Apple ne fournit même pas le nom du modèle des CPUs. Apple ne s'engage sur aucune puissance chiffrée.)
@Marco787
Ah donc si pas d’impacts on peut faire ce qu’on veut ?
Si je vol quelqu’un mais que ça lui change rien à son niveau de vie, c’est pas grave c’est ça ?
@ kafy28
Le sujet n'est pas là... (Votre comparaison n'est pas à propos, pour plusieurs raisons.)
Le sujet est l'utilisateur a-t-il constaté une baisse de performance de 20% ou pas. Si aucune baisse n'est constatée ou ne s'applique, il n'y a par définition aucun problème.
Pas d'accord non plus.
Quand j'achète un objet et qu'il m'est vendu un certain prix, je veux ce pour quoi j'ai payé. C'est bien normal quand même et c'est la moindre des choses !
Qu'on l'utilise à 20 ou 90% de ses possibilités c'est pas le problème d'Intel et ça ne regarde que l'utilisateur. Le débat n'est même là. Le problème c'est que si je paye, on me donne ce pour quoi j'ai payé, point. Ça va pas plus loin.
S'il y a 40% de réduction de performance sur le CPU, je veux qu'on me remise 40% du prix du CPU. Que j'utilise ou pas ces 40% de performances, on s'en fou, c'est pas le sujet.
@LolYangccool
La réalité c'est plutot : si t'es pas content tant pis pour toi, et si tu veux faire la nique à Intel... ben achètes du AMD, ou du ARM
En gros, va bosser sur un PC Grosbill ou sur un iPad, ou accepte la réalité des choses
En même temps, si ça te fait du bien de râler dans les forums .... c'est toujours ça de pris hein
@ LolYangccool
Je comprends ce que vous dites, mais dans ce cas, vous ne pouvez avoir aucun appareil informatique, non ? Car les bugs ont toujours existé et existeront pour longtemps, donc vous savez qu'un appareil informatique ne peut correspondre à ce qui est promis et vanté.
Ou sinon, comment faites-vous ?
Les processeurs sont tellement complexes que personne n'est capable de dire où sont les véroles. Et contrairement à un logiciel, on ne peut pas corriger, recompiler et livrer la nouvelle version par téléchargement. On peut juste installer une rustine logicielle qui va ralentir le processeur.
Qu’a fait Intel pour dédommager les victimes de ces mal façons dont la correction fait reculer les perf des prix de 2, 3 ou plus d’années ?
Comme dab’ si il n’y a pas de risques pour les responsables, ils s’en foutent et nous rient au nez.
Après la correction des précédentes failles, mon MacBook Air a bien perdu en perf.
Le décodage de plex + Cast sur TV sur du 720p fait ventiler le mac à mort maintenant...
Merci Intel :/
PS : allez hop repassage sous 10.13 avant que sortent l’es patch Intel a la con
De ce que j’ai compris, ils désactivent l’hyper treading des processeurs. A force, ça + ça + ça, ça va faire pas mal de % de perf en moins.
T’as rien compris.
Pas « ils » mais « toi » éventuellement si tu appliques les commandes indiquées dans la documentation en lien. Sinon rien.
Si, entre 3 et 9%
La série noire continue pour Intel... Ryzen 3000 en 7nm va aussi faire très mal. Vivement cet été, que je change mon vieux et vaillant Xeon de 2008 pour un petit processeur AMD !
Je rêve d’un MacPro AMD. Reste Thunderbolt…
Plus dispo la MAJ ? Je l'ai pas sur mon mac.
Macbook Pro 13 2015 :
Plex pour transcoder une video 720p + caster sur TV
Sous 10.14.5 : Le mac se fout à ventiler comme un malade et le transcodeur Plex monte a 140% du processeur.
Sous 10.13.0 (Meltdown, Spectre et Zombieload non patchés) : Décodage sans souci, 80% du processeur. Aucune ventilation. Comme avant.
Y'a bien de la puissance qui est bouffée avec ces patchs c'est pas possible sinon ....
> Apple relève l’absence d’impact sur les performances du navigateur, et conseille de télécharger
> des applications uniquement sur le Mac App Store, afin d’éviter l’installation d’un logiciel
> pouvant être exploité par ZombieLoad.
Comme si la validation des apps faites par Mac App Store était en mesure de détecter qu'un code binaire dedans cherche à exploiter ou pas une faille d'un CPU. C'est pas comme la découverte d'une signature d'un malware/virus, hein.